Tài liệu Thiết kế mạng trên nền IPV6 an toàn nhờ phân tích, đánh giá đặc điểm của giao thức IPV6 - Nguyễn Thị Dung: Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91
85
THIẾT KẾ MẠNG TRÊN NỀN IPV6 AN TOÀN NHỜ PHÂN TÍCH,
ĐÁNH GIÁ ĐẶC ĐIỂM CỦA GIAO THỨC IPV6
Nguyễn Thị Dung, Lê Hoàng Hiệp*, Phạm Thị Liên, Trần Duy Minh
Trường Đại học Công nghệ thông tin & Truyền thông – ĐH Thái Nguyên
TÓM TẮT
Nhu cầu thiết yếu với các doanh nghiệp hiện nay luôn cần có một hệ thống mạng hoạt động 24/24
giờ liên tục với hiệu năng tốt nhất nhưng phải đảm bảo độ an toàn cao nhất có thể. Với các
mạng sử dụng giao thức IPv4 như trước đây đang có xu thế chuyển dịch hoặc chuyển hẳn sang
sử dụng giao thức IPv6 vì nhiều lợi ích của nó. Tuy nhiên, bên cạnh đó các mạng doanh
nghiệp vừa và nhỏ tại Việt Nam hiện nay khi được thiết kế trên nền giao thức IPv6 cũng luôn có
những tiềm tàng hoặc rủi do bị kẻ xấu lợi dụng một số điểm yếu của IPv6 để thực hiện tấn công
hoặc những hành động, mục đích không có lợi cho hệ thống mạng doanh nghiệp hiện nay. Do
đó, khi bắt tay vào thiết kế một dự...
8 trang |
Chia sẻ: quangot475 | Lượt xem: 795 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Thiết kế mạng trên nền IPV6 an toàn nhờ phân tích, đánh giá đặc điểm của giao thức IPV6 - Nguyễn Thị Dung, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91
85
THIẾT KẾ MẠNG TRÊN NỀN IPV6 AN TOÀN NHỜ PHÂN TÍCH,
ĐÁNH GIÁ ĐẶC ĐIỂM CỦA GIAO THỨC IPV6
Nguyễn Thị Dung, Lê Hoàng Hiệp*, Phạm Thị Liên, Trần Duy Minh
Trường Đại học Công nghệ thông tin & Truyền thông – ĐH Thái Nguyên
TÓM TẮT
Nhu cầu thiết yếu với các doanh nghiệp hiện nay luôn cần có một hệ thống mạng hoạt động 24/24
giờ liên tục với hiệu năng tốt nhất nhưng phải đảm bảo độ an toàn cao nhất có thể. Với các
mạng sử dụng giao thức IPv4 như trước đây đang có xu thế chuyển dịch hoặc chuyển hẳn sang
sử dụng giao thức IPv6 vì nhiều lợi ích của nó. Tuy nhiên, bên cạnh đó các mạng doanh
nghiệp vừa và nhỏ tại Việt Nam hiện nay khi được thiết kế trên nền giao thức IPv6 cũng luôn có
những tiềm tàng hoặc rủi do bị kẻ xấu lợi dụng một số điểm yếu của IPv6 để thực hiện tấn công
hoặc những hành động, mục đích không có lợi cho hệ thống mạng doanh nghiệp hiện nay. Do
đó, khi bắt tay vào thiết kế một dự án mạng mới nhà thiết kế cần hiểu rõ và đánh giá đặc điểm
của giao thức IPv6 một cách nghiêm túc nhất.
Từ khóa: IPv6, IPv6 Security, IPv6 Attacks, IPv6 Threats, IPv6 Issues
GIỚI THIỆU*
Khi thiết kế một hệ thống mạng an toàn, nhà
thiết kế cần phải xem xét và phân tích thực
hiện một số yếu tố có ảnh hưởng liên đới sau
này khi sử dụng chẳng hạn như phân tích
cấu trúc sơ đồ mạng (topology) hoặc vị trí đặt
các host (máy chủ, Router, tường lửa,) như
thế nào để đảm bảo hiệu năng nhưng người
quản trị vẫn có thể kiểm soát và hiểu rõ, thực
thi tốt nhất hệ thống mà mình đang quản lý.
Hình 1. Sơ đồ mạng an toàn cơ bản
Một số vấn đề, thách thức bảo mật thường
thấy trong khi thiết kế mạng doanh nghiệp
cỡ vừa và nhỏ (số lượng node mạng <1000)
điển hình như:
- Bảo vệ hệ thống khỏi các mối đe dọa, tấn
công từ mạng Internet.
- Bảo vệ cho các máy chủ Web, DNS và Mail
trên mạng Internet.
*
Tel: 0984 666500; Email: lhhiep@ictu.edu.vn
- Phòng ngừa thiệt hại, rủi do cho các hệ
thống và ngăn chặn tấn công nội bộ.
- Đảm bảo tài nguyên nội bộ quan trọng
trong các doanh nghiệp như hồ sơ lưu trữ,
dữ liệu tài chính, cơ sở dữ liệu khách hàng,
bí mật kinh doanh,
- Xây dựng một nền tảng (Framework) tốt
cho kỹ sư quản trị hệ thống để quản lý hệ
thống được an toàn.
- Cung cấp cho các hệ thống khả năng
lưu/ghi lại nhật ký cũng như xây dựng hệ
thống phát hiện xâm nhập.
Hơn nữa nhà thiết kế cần tập trung nghiên
cứu/phân tích một mô hình mạng hợp lý, phù
hợp cho đối tượng doanh nghiệp mà mình sẽ
thiết kế như việc phân biệt rõ ràng giữa các
vùng mạng theo chức năng và thiết lập các
chính sách an toàn thông tin riêng cho từng
vùng mạng theo yêu cầu thực tế. Chẳng hạn
phân biệt vùng mạng nội bộ (là nơi đặt các
thiết bị mạng, máy trạm và máy chủ thuộc
mạng nội bộ của đơn vị); vùng mạng máy chủ
Server (hay Server Farm là nơi đặt các máy
chủ không trực tiếp cung cấp dịch vụ cho
mạng Internet. Các máy chủ triển khai ở vùng
mạng này thường là Database Server, LDAP
Server,) và vùng mạng Internet (còn gọi là
mạng ngoài, kết nối với mạng Internet toàn
cầu). Việc tổ chức mô hình mạng hợp lý đảm
Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91
86
bảo bảo mật có ảnh hưởng lớn đến sự an toàn
cho các hệ thống mạng và các cổng thông tin
điện tử. Đây là cơ sở đầu tiên cho việc xây
dựng các hệ thống phòng thủ và bảo vệ.
Ngoài ra, việc tổ chức mô hình mạng hợp lý
có thể hạn chế được các tấn công từ bên trong
và bên ngoài một cách hiệu quả [1].
Đối với mỗi tổ chức, doanh nghiệp tất cả hệ
thống máy móc, thiết bị mạng đều được liên
kết/kết nối với nhau thông qua mạng nội bộ
hoặc mạng diện rộng. Với tính chất liên kết
đó, mỗi khi một máy bị tấn công sẽ ảnh
hưởng đến cả hệ thống mạng của công ty, tuy
nhiên hầu hết các doanh nghiệp Việt Nam đều
đang lơ là và chưa thực sự quan tâm đến vấn
đề bảo mật hệ thống an ninh mạng của công
ty mình như: Yêu cầu sử dụng phần mềm bản
quyền chưa được tuân thủ nghiêm ngặt, chưa
tiến hành rà quét, đánh giá an ninh định kì,
chưa được tăng cường các biện pháp chủ
động phòng ngừa các nguy cơ an ninh, biết
điểm yếu an ninh nhưng chưa chủ động khắc
phục hoặc khắc phục một phần chưa triệt
để.Đặc biệt nếu hệ thống mạng của doanh
nghiệp hiện nay được thiết kế sử dụng hoàn
toàn nền tảng IPv6 thì bên cạnh nhiều lợi ích
to lớn sẽ luôn có các mối đe dọa an ninh là
rất lớn tồn tại song song. Khi đó, vai trò then
chốt và quan trọng ở khâu thiết kế ngay từ
đầu sẽ có ảnh hưởng xuyên suốt tới quá trình
vận hành, sử dụng sau này đòi hỏi nhà thiết
kế cần có những phân tích kỹ càng và thấu
đáo các yêu cầu/quy chuẩn thiết kế đúng
chuẩn mực, tránh các điểm yếu và tận dụng
lợi thế của giao thức IPv6 để hệ thống mạng
hoạt động với hiệu năng cao nhất [2].
NHẬN DIỆN ƯU ĐIỂM TRONG CÁC ĐẶC
ĐIỂM CỦA CÔNG NGHỆ IPV6
Công nghệ IPv6 mang đến rất nhiều ưu điểm
so với công nghệ tiền nhiệm của nó (IPv4).
Khả năng mở rộng địa chỉ của IPv6 cho phép
cung cấp khoảng 340 tỷ tỷ (trillion) địa chỉ
duy nhất, trong khi IPv4 chỉ có khả năng cung
cấp tối đa khoảng 4 tỷ địa chỉ.
Số lượng không gian địa chỉ mà IPv6 có khả
năng cung cấp được dự trù là vô cùng lớn, có
thể đáp ứng được thoải mái cho tất cả các
thiết bị đã và đang được kết nối vào mạng
theo cấp số nhân như hiện nay. IPv6 sẽ kết
thúc sứ mệnh của các thiết bị có chức năng
"dịch địa chỉ” (NAT), và chúng ta không phải
đầu tư cũng như mất chi phí vận hành cho
những thiết bị kiểu như vậy như hiện nay
đang làm. Tập giao thức an ninh IP đã được
dựng và đưa luôn vào kiến trúc của IPv6, do
đó tạo ra phương thức triển khai cơ chế an
ninh ngay từ bên trong khi dùng IPv6. Các cơ
chế đảm bảo an ninh an toàn đồng nhất trong
tất cả các ứng dụng của doanh nghiệp sẽ đơn
giản hóa công tác quản trị an toàn an ninh.
Giao thức mạng với tính năng an toàn an ninh
tốt hơn sẽ mở đường cho việc triển khai các
ứng dụng truyền tin an toàn. Cấu trúc có thể
mở rộng của phần đầu IPv6 (header) còn cho
phép cung cấp các đặc tính mới. IPv6 đảm
bảo chất lượng tốt hơn IPv4 do phần đầu của
IPv6 chứa một trường trong đó cho phép các
gói tin được bắt đầu từ một trạm và hướng tới
một trạm khác một cách cụ thể, để các gói
được nhìn thấy và được xử lý một cách nhanh
chóng và hiệu quả bởi các bộ định tuyến.
Việc ứng dụng IPv6 sẽ mang lại lợi ích cho
rất nhiều khu vực, như chính quyền, quốc
phòng, viễn thông, điện lực, giao thông, hậu
cầu, trò chơi, bất động sản, chăm sóc sức
khỏe và giáo dục [2].
Có thể tóm tắt một số lợi ích của mạng IPv6
như sau [1], [2],[3]:
- Không gian địa chỉ lớn hơn và dễ dàng quản
lý không gian địa chỉ: Tăng từ 32bit lên
128bit.
- Khôi phục lại nguyên lý kết nối đầu cuối-
đầu cuối của Internet và loại bỏ hoàn toàn
công nghệ NAT
- Quản trị TCP/IP dễ dàng hơn: IPv6 được
thiết kế với khả năng tự động cấu hình mà
không cần sử dụng máy chủ DHCP, hỗ trợ
hơn nữa trong việc giảm cấu hình thủ công.
Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91
87
- Cấu trúc định tuyến tốt hơn: Định tuyến
IPv6 được thiết kế hoàn toàn phân cấp.
- Tự động cấu hình không trạng thái (Plug
and Play).
- Dễ dàng thực hiện Multicast.
- Khả năng bảo mật kết nối từ thiết bị gửi đến
thiết bị nhận.
- Hỗ trợ tốt hơn cho di động: Thời điểm IPv4
được thiết kế, chưa tồn tại khái niệm về thiết
bị IP di động. Trong thế hệ mạng mới, dạng
thiết bị này ngày càng phát triển, đòi hỏi cấu
trúc giao thức Internet có sự hỗ trợ tốt hơn.
NHẬN DIỆN MỘT SỐ ĐIỂM YẾU, NGUY
CƠ, LỖ HỔNG TẤN CÔNG TRONG
MẠNG IPV6
Không chỉ có không gian địa chỉ lớn hơn,
IPv6 còn cải thiện tốt hơn những vấn đề bảo
mật tồn tại trong giao thức IPv4 như tấn công
từ chối dịch vụ (DOS), tấn công chèn mã độc
(Malicious Code), tấn công Man-in-the-
middle, tấn công phân mảnh, các tấn công
quét cổng và tấn công thăm dò, tấn công
chuyển hướng ICMP và nhiễm độc ARPVì
thế chuyển sang sử dụng địa chỉ IPv6 được
xem như là một cách để an toàn hơn trong
môi trường mạng [4].
Hơn nữa, ngoài rất nhiều lợi ích, tính năng
bảo mật được kế thừa, cải thiện và phát huy
của bộ giao thức IPv6 so với IPv4 như: Ngăn
chặn được một số kiểu tấn công nhờ không
gian địa chỉ lớn; Bảo mật hơn nhờ tính năng
tự động cấu hình và phát hiện thiết bị hàng
xóm; Hỗ trợ IPsec trong tất cả các node
mạng; Liên kết bảo mật (SA); Hỗ trợ hai giao
thức bảo mật: Tiêu đề xác thực (AH) và ESP
(Encapsulating Security Payload); Tính xác
thực và Tính toàn vẹn dữ liệu (Authentication
and data integrity);công nghệ IPv6 vẫn
luôn tồn tại những điểm yếu, rủi do, lỗ hổng
và nguy cơ tấn công từ Hacker.
Cụ thể một số vùng của IPv6 nơi mà bảo mật
vẫn là một vấn đề cần quan tâm, nghiên cứu
thực nghiệm để khắc phục bao gồm [4],[5]:
Các vấn đề liên quan đến Dual-stack: Vấn
đề chính của Dual-stack trên các máy chủ
IPv6 được kích hoạt một cách mặc định trên
một số hệ điều hành (Windows, Linux,).
Thế nhưng các chính sách bảo mật và an ninh
không được kích hoạt một cách mặc định.
Nếu nhà quản trị không có nhiều kinh nghiệm
hoặc không chú trọng cấu hình bảo mật thì sẽ
tạo ra một lỗ hổng bảo mật lớn. Mối đe dọa
tiềm ẩn của kỹ thuật này có thể xuất hiện khi
một thiết bị hay phần mềm bảo mật không hỗ
trợ IPv6 hoặc có hỗ trợ nhưng không được cấu
hình IPv6 với tính năng an toàn.
Hình 2. Dual Stack IPv4/IPv6
Trong khi đó, một số hình thức chuyển đổi
dual-stack sẽ được sử dụng. Việc sử dụng
ngăn xếp hai giao thức IPv6-IPv4 sẽ làm tăng
khả năng bị tấn công, đây là một hệ quả của
việc có hai cơ sở hạ tầng với các vấn đề bảo
mật khác nhau. Tuy nhiên, hầu hết các vấn đề
này không phải là kết quả trực tiếp của lỗi
trong thiết kế IPv6, mà là kết quả của sự
không tương thích và của việc cấu hình sai.
Các vấn đề liên quan đến việc sử dụng
Header: Việc sử dụng các tiêu đề mở rộng
(Extension Headers) và IPSec có thể ngăn
chặn một số nguồn tấn công phổ biến. Việc sử
dụng này được thực hiện bằng cách sử dụng
tiêu đề IPv6. Tuy nhiên, thực tế là Extension
Headers phải được xử lý bởi tất cả các thiết bị,
đây có thể là một nguồn gốc của các tấn công,
ví dụ một chuỗi dài Extension Headers hoặc
một số các gói có kích thước lớn đáng kể có
thể được sử dụng để làm tràn ngập các node
mạng nào đó (ví dụ: các bức tường lửa, thiết bị
mạng,) hoặc giả mạo một cuộc tấn công.
Giả mạo (snoofing): tiếp tục là một nguy cơ
trong mạng IPv6. Tuy nhiên, snoofing chỉ có
Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91
88
thể xảy ra cho các node mạng trên cùng một
phân đoạn mạng.
Hình 3. Ví dụ về tấn công Spoofing DNS
Để truy cập vào hệ thống mạng của bạn, máy
tính bên ngoài phải “giành” được một địa chỉ
IP tin cậy trên hệ thống mạng. Vì vậy kẻ tấn
công phải sử dụng một địa chỉ IP nằm trong
phạm vi hệ thống mạng của bạn. Hoặc cách
khác là kẻ tấn công có thể sử dụng một địa
chỉ IP bên ngoài nhưng đáng tin cậy trên hệ
thống mạng của bạn. Các địa chỉ IP có thể
được hệ thống tin tưởng là bởi vì các địa chỉ
này có các đặc quyền đặc biệt trên các nguồn
tài nguyên quan trọng trên hệ thống mạng.
Các vấn đề về làm tràn bộ đệm: Việc quét
các địa chỉ và các dịch vụ hợp lệ là khó khăn
hơn trong các mạng IPv6. Như đã đề cập ở
trên, để có thể quét hiệu quả một phân đoạn
IPv6 có thể mất đến 580 tỷ năm, vì không
gian địa chỉ sử dụng 128 bit. Tuy nhiên,
không gian địa chỉ lớn hơn không có nghĩa là
IPv6 là hoàn toàn bất khả xâm phạm trong
các kiểu tấn công này. Cũng không thiếu các
địa chỉ quảng bá làm cho IPv6 an toàn hơn.
Các đặc tính mới như các địa chỉ multicast
cũng làm cho IPv6 mất an toàn. Kiểu tấn công
Smurf vẫn có thể xảy ra đối với lưu lượng
multicast.
Tấn công DDoS trong mạng IPv6: Tấn công
từ chối dịch vụ (DoS) đã trở thành cơn ác
mộng với không ít hệ thống mạng IPv4. Nó
có thể làm tê liệt hoạt động của một trang
Web, máy chủ hoặc tài nguyên mạng. Đối với
IPv6, nguy cơ tấn công DoS có liên quan đến
phần header mở rộng (Extension Headers).
Những trường (field) được yêu cầu xử lý bởi
tất cả các node trên đường đi của gói tin mới
được duy trì trong header IPv6 . Các trường
còn lại chứa thông tin có thể hoặc không liên
quan đến gói tin IP được chuyển đến phần
header mở rộng IPv6. Và chính phần header
mở rộng này vừa là điểm mạnh nhưng cũng
đang trở thành điểm yếu mà tin tặc có thể lợi
dụng trong các cuộc tấn công DoS.
Hình 4. Tấn công DoS
IPv6 không giới hạn các header mở rộng
(không vượt quá kích thước gói tin IPv6) và
quá trình thực hiện là xử lý hoàn toàn các
trường theo thứ tự chúng xuất hiện trong
header. Vì vậy, tin tặc có thể thực hiện giả
mạo header mở rộng để tiến hành tấn công.
Chúng có thể tạo ra một gói tin IPv6 có số
lượng header mở rộng tối đa cho phép và liên
kết với nhau trong một danh sách lớn. Ví dụ
như gửi lặp bản tin hop-by-hop option header
nhiều lần khiến cho việc xác định đường đi
của các node trong mạng bị cản trở hoặc làm
tắc nghẽn băng thông.
THIẾT KẾ MẠNG IPV6 AN TOÀN NHỜ
CHỌN LỰA PHƯƠNG PHÁP THIẾT KẾ
PHÙ HỢP VÀ XÂY DỰNG TIÊU CHÍ
THIẾT KẾ CHUẨN MỰC
Như đã phân tích, trình bày bên trên mặc dù
có nhiều tính năng bảo mật được tăng cường,
nhưng IPv6 không thể giải quyết tất cả các
tồn tại trong IPv4. Giao thức IPv6 không thể
ngăn được các cuộc tấn công ở lớp trên lớp
mạng (Network Layer). Các cuộc tấn công có
thể là [5]:
- Tấn công ở lớp ứng dụng: các cuộc tấn
công ở lớp 7 thuộc mô hình OSI như tràn bộ
đệm (Buffer Overflow), Virus, mã độc, tấn
công ứng dụng Web,
Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91
89
- Tấn công Brute-force hay dò mật khẩu
trong các mô-đun xác thực
- Thiết bị giả (Rogue Device) : các thiết bị
đưa vào mạng nhưng không được phép. Các
thiết bị này có thể là một máy PC, một thiết bị
chuyển mạch (Switch), định tuyến (Router),
Server DNS, DHCP hay một thiết bị truy cập
mạng không dây (Wireless Access Point),
- Tấn công từ chối dịch vụ: vẫn tiếp tục tồn
tại trong IPv6
- Tấn công sử dụng quan hệ xã hội (Social
Engineering): lừa lấy mật khẩu, ID, Email
Spamming, Phishing,
Với các mạng doanh nghiệp tại Việt Nam
hiện nay, nên học hỏi, kế thừa và phát huy các
kinh nghiệm triển khai mạng IPv6 từ các
nước đã ứng dụng trước đó, khi thiết kế hệ
thống mạng IPv6 nhà thiết kế nên nhận diện
các phương pháp thiết kế và bộ tiêu chí gợi ý
có lợi và bảo đảm an toàn mạng. Cụ thể:
Lựa chọn phương pháp thiết kế
- Phương pháp thiết kế mạng điển hình là
PPDIOO (Prepare, Plan, Design, Implement,
Operate, Optimize). Thiết kế mạng hợp lý,
vận hành hiệu quả cũng làm tăng tính sẵn
sàng của hệ thống. Với phương pháp này phù
hợp với các mạng IPv6 có quy mô lớn, cần
chuẩn bị thời gian và xem xét yếu tố hiệu
năng lớn.
- Thiết kế mạng từ trên xuống (Top-Down) là
một phương pháp thiết kế mạng bắt đầu ở các
lớp trên của mô hình tham chiếu OSI trước
khi chuyển sang các lớp thấp hơn. Phương
pháp thiết kế từ trên xuống tập trung vào các
lớp: ứng dụng (Application), phiên (Session),
và vận chuyển (Transport) trước khi chọn lựa
các bộ định tuyến, các thiết bị chuyển mạch
và môi trường hoạt động ở các lớp dưới.
Trong phương pháp này sẽ hạn chế được các
vấn đề liên quan đến việc sử dụng Header; kiểm
soát tốt hơn các cuộc tấn công DDOS trong
mạng IPv6, vì khi thiết kế theo từng tầng, nhà
quản trị đã có sự lựa chọn kỹ càng các thiết bị
mạng đáp ứng được các vấn đề này.
- Thiết kế mạng theo mô hình phân cấp sử
dụng các lớp để đơn giản nhiệm vụ kết nối
mạng, mỗi lớp có thể chỉ tập trung vào một
chức năng cụ thể, cho phép chúng ta lựa chọn
các tính năng và các hệ thống thích hợp cho
mỗi lớp. Với phương pháp này khi thiết kế
mạng IPv6 sẽ hạn chế được các vấn đề liên
quan tới Dual-stack và vấn đề tràn bộ đệm,
bởi kỹ thuật này “chia để trị”, chia mạng lớn
thành các cấp độ khác nhau để từ đó có thiết
kế phù hợp.
Kết luận: trong một hệ thống hoạt động tốt,
ổn định, an toàn cao, đặc biệt là với các mạng
phức tạp chạy trên nền IPv6, việc chọn lựa
được một phương pháp thiết kế hiệu quả sẽ
đem tới nhiều lợi ích tốt, đồng thời kiểm soát
và hạn chế được các yếu điểm mà mạng IPv6
đang tồn tại.
Xác định và xây dựng bộ tiêu chí thiết kế:
Với bất kỳ phương pháp thiết kế mạng nào đã
được lựa chọn, nhà thiết kế vẫn rất cần xây
dựng bộ tiêu chí kỹ càng và có sự phản biện
cao. Với mạng IPv6 cần có các tiêu chí dưới
đây để tăng độ an toàn cho hệ thống
[4],[5],[6]:
Nên đặt các máy chủ Web, máy chủ thư điện
tử (Mail Server) cung cấp dịch vụ ra
mạng Internet trong vùng mạng DMZ, nhằm
tránh các tấn công mạng nội bộ hoặc gây ảnh
hướng tới an toàn mạng nội bộ nếu các máy
chủ này bị tấn công và chiếm quyền kiểm
soát. Chú ý không đặt máy chủ Web, Mail
Server hoặc các máy chủ chỉ cung cấp dịch vụ
cho nội bộ trong vùng mạng này.
Các máy chủ không trực tiếp cung cấp dịch
vụ ra mạng ngoài như máy chủ ứng dụng,
máy chủ cơ sở dữ liệu, máy chủ xác thực
nên đặt trong vùng mạng Server Network để
tránh các tấn công trực diện từ Internet và từ
mạng nội bộ. Đối với các hệ thống thông tin
yêu cầu có mức bảo mật cao, hoặc có nhiều
cụm máy chủ khác nhau có thể chia vùng
Server Network thành các vùng nhỏ hơn độc
lập để nâng cao tính bảo mật.
Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91
90
Nên thiết lập các hệ thống phòng thủ như
tường lửa (Firewall) và thiết bị phát
hiện/phòng chống xâm nhập (IDS/IPS) để
bảo vệ hệ thống, chống tấn công và xâm nhập
trái phép. Khuyến cáo đặt Firewall và
IDS/IPS ở các vị trí như sau: đặt Firewall
giữa đường nối mạng Internet với các vùng
mạng khác nhằm hạn chế các tấn công từ
mạng từ bên ngoài vào; đặt Firewall giữa các
vùng mạng nội bộ và mạng DMZ nhằm hạn
chế các tấn công giữa các vùng đó; đặt
IDS/IPS tại vùng cần theo dõi và bảo vệ.
Nên đặt một Router ngoài cùng (Router
biên) trước khi kết nối đến nhà cung cấp dịch
vụ internet (ISP) để lọc một số lưu lượng
không mong muốn và chặn những gói tin đến
từ những địa chỉ IP không hợp lệ.
KẾT LUẬN
Trong khi rõ ràng là IPv6 và IPv4 sẽ tiếp tục
cùng tồn tại nhiều năm nữa, tiềm năng thực
sự của nền kinh tế số và các dịch vụ thế hệ
mới chỉ có thể được nhận thức một khi các
nhà cung cấp đặt kế hoạch cho việc chuyển
đổi sang IPv6. Thêm nữa, chuyển đổi sang
IPv6 là tiến trình nhạt nhẽo và phức tạp, và vì
IPv6 không tương thích ngược, nên các công
ty cần rất cẩn trọng khi lên kế hoạch chuyển
đổi để bảo đảm việc sản xuất kinh doanh
không bị gián đoạn. Điều tối quan trọng cần
quan tâm là các yếu tố về phần cứng và phần
mềm đều phải được đánh giá trước khi thực
sự chuyển đổi, do bất cứ sự lệch lạc nào cũng
có thể ảnh hưởng trực tiếp đến độ sẵn sàng
của các dịch vụ trọng yếu [6], [7].
- Việc chuẩn bị nên làm sao để khâu thiết kế
và xây dựng không trở thành tốn kém
- Thiết kế, xây dựng và chuyển đổi cần được
thực hiện với độ ảnh hưởng tối thiểu.
Để đạt được điều đó, một công ty nên có
nhiều kinh nghiệm trong xây dựng và quản trị
các mạng IP phức tạp ở mức độ toàn cầu. Khi
đó, sẽ dễ dàng ở vị thế có thể cung cấp dịch vụ
chuyển đổi IPv6 cho các doanh nghiệp, nhà
cung cấp dịch vụ và các nhà sản xuất thuộc các
cỡ khác nhau ở bất cứ đâu trên thế giới.
Tốc độ phát triển của các thiết bị kết nối và
Internet đã làm cho việc chuyển đổi sang IPv6
cho các nhà cung cấp dịch vụ và các doanh
nghiệp là không thể đảo ngược. Một sự thật rõ
ràng là IPv6 và IPv4 sẽ cùng tồn tại trong quá
trình quá độ, làm cho mọi việc trở nên phức
tạp và khó quản lý hơn, và làm kéo dài quá
trình chuyển sang IPv6. Tuy nhiên, thách thức
lớn hơn của các nhà cung cấp dịch vụ và các
doanh nghiệp lớn là làm sao vẽ được lộ trình
đúng đắn, phù hợp để chuyển đổi sang IPv6,
trong khi đương nhiên vẫn phải đảm bảo tính
liên tục của hoạt động sản xuất kinh doanh
cũng như các mục tiêu chiến lược. Và vấn đề
then chốt đó là nhà thiết kế cần nghiên cứu,
phân tích đánh giá, hiểu rõ nhất ưu nhược
điểm của công nghệ IPv6 để từ đó đưa ra các
khuyến nghị tốt nhất cho khách hàng khi thiết
kế một hệ thống mạng chạy hoàn toàn trên
nền công nghệ IPv6 hoặc kết hợp cả hai công
nghệ IPv4 và IPv6 song song như hiện nay.
TÀI LIỆU THAM KHẢO
1. https://www.vnnic.vn/ipv6/
2. Minoli, D. Kouns, J, 2009, Security in an IPv6
Environment, CRC Press, USA.
3. E. Durdaugi and A. Buldu, 2010, IPV4/IPV6
security and threat comparisons,
Procedia-Social and Behavioral Sciences, vol.
2(2): pp. 5285–5291.
4. S. Deering, Cisco, R. Hinden, and Nokia,
“RFC” 2460, 1998, Internet Protocol, Version 6
(IPv6) Specification.
5. Hogg, S. Vyncke, E. 2009, IPv6 Security, Cisco
Press, USA.
6. R.K.Murugesan, and S.Ramadass, 2012,
Review on IPv6 Security Vulnerability Issue and
Mitigation Methods, International Journal of
Network Security & Its Applications, 4 (6).
7. J. Ullrich, K. Krombholz, H. Hobel, A.
Dabrowski, and E. Weippl, 2014, IPv6 security:
Attacks and Countermeasures in a Nutshell, in
Proceedings of the 8th USENIX conference on
Offensive Technologies, pp. 5–5.
Nguyễn Thị Dung và Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ 188(12/2): 85 - 91
91
SUMMARY
NETWORK DESIGN OF IPV6 SAFETY BASED ON ANALYSIS, FEATURE
ASSESSMENT OF IPV6 PROTOCOL
Nguyen Thi Dung, Le Hoang Hiep
*
, Pham Thi Lien, Tran Duy Minh
University of Information and Communication Technology - TNU
The focus of the paper is on design choices where there are differences between IPv4 and IPv6,
either in the range of posible alternatives (e.g. the extra possibilities introduced by link-local
addresses in IPv6) or the recommended alternative. The paper presents the alternatives and
discusses the pros and cons in detail. Where consensus currently exists around the best practice,
this is documented; otherwise the paper simply summarizes the current state of the discussion.
Thus this paper serves to both to document the reasoning behind best current practices for IPv6,
and to allow a designer to make an intelligent choice where no such consensus exists.
Keywords: IPv6, IPv6 Security, IPv6 Attacks, IPv6 Threats, IPv6 Issues
Ngày nhận bài: 17/8/2018; Ngày phản biện: 09/10/2018; Ngày duyệt đăng: 12/10/2018
*
Tel: 0984 666500; Email: lhhiep@ictu.edu.vn
92
Các file đính kèm theo tài liệu này:
- 160_357_1_pb_5117_2126962.pdf